Мы используем службу защиты от DDoS-атак с самого начала, и их сотрудники говорят, что важно, чтобы наше программное обеспечение никоим образом никогда не раскрывало исходный IP-адрес.
Помимо полного отключения электронной почты, есть ли какие-либо настройки, которые мы можем добавить в app.yml, чтобы помочь с этим в глобальном масштабе?
Например, один из моментов, который меня сбивает с толку: когда Discourse выдаст SSL-сертификат через Let’s Encrypt, раскроет ли Discourse исходный IP-адрес или Let’s Encrypt будет выполнять проверку по URL, а не по IP?
Let’s Encrypt может вообще не пройти регистрацию, если сервер не доступен напрямую. Например, если включен оранжевый облако Cloudflare, это может нарушить процесс проверки.
Вы не можете использовать Let’s Encrypt. Они должны предоставить сертификаты на своём обратном прокси-сервере.
Они должны предоставить почтовый сервер, который будет удалять ваш IP-адрес из заголовков писем, но на самом деле утечка вашего IP не является проблемой, если вы настроите фаервол для доступа к вашему серверу и разрешите доступ только с их сервера.
У них есть опция, при которой они не расшифровывают защищённый трафик, то есть прозрачно проксируют его без расшифровки. Поэтому я подумал: а что, если я вручную получу сертификат и установлю его, следуя инструкциям в этой теме, а затем настрою DDoS-Guard так, чтобы он просто прозрачно проксировал весь HTTPS-трафик?
Кстати, вы можете получить SSL-сертификат для nginx с помощью DNS-валидации. Процесс немного сложный и требует использования обратного прокси nginx вне контейнера Docker.